Asiakastietojen luvaton kopiointi olisi voinut maksaa Kiinteistömaailmalle miljoonia

Muun muassa Ilta-Sanomat ja Yle uutisoivat viime viikolla Kiinteistömaailmassa tapahtuneesta asiakastietojen luvattomasta kopioinnista. Mielestäni yritys hoiti asian ryhdikkäästi ilmoittamalla tästä asiakkailleen sekä tiedottamalla siitä verkkosivuillaan.

Kysymyksessä on ilmeisesti rikostutkinta, jossa yhtiön entinen työntekijä kopioi luvatta ilmeisesti hyötymistarkoituksessa asiakasrekisteristä 3500 Kiinteistömaailman asiakkaan yhteystiedot. Asiasta on tehty rikosilmoitus poliisille.

Asiakastietojen luvaton kopiointi on yritysmaailman “arkipäivää”. Kyseessä ei ole mikään jokapäiväinen asia, mutta ei ole tavattoman harvinaista, että vaikkapa asiakassuhdejohtaja ottaa mukaansa parhaiden asiakkaiden yhteystietoja kilpailijalle siirtyessään. Tällainen toiminta on tietysti jyrkästi kielletty ja jo sellaisenaan helposti jopa työsuhteen purkamisperuste (tosin mitäpä purat kun työntekijä on jo lähtenyt!). Monet yritykset pyrkivät rajoittamaan tätä toimintaa muun muassa salassapitosopimuksin sekä kilpailukielloin. Vakavimmissa tilanteissa yrityksellä voi olla oikeus vaatia vahingonkorvausta aiheutetusta vahingosta rikostutkinnan lisäksi.

Mielenkiintoista kyseisessä uutisessa on tietosuojan kannalta varsinkin se, että yrityksellä on hallussaan tietoa joka monelle hyvin herkkä asia: oma asuminen ja kodin etsintä. Ilta-Sanomien asiakaskommenttien perusteella on itse asiassa yllättävää miten paljon kiinteistövälittäjälläkin meistä on tietoa.

Kiinteistömaailmalle kävi siltä osin asiassa “munkki”, että kyseinen kopiointi tapahtui jo nyt. Ensi vuoden toukokuussa uuden tietosuoja-asetuksen myötä nimittäin kyseessä olisi ollut luvaton tietovuoto, joka pahimmassa tapauksessa olisi voinut johtaa sakkoihin. Tietojen luvaton kopiointi nimittäin myös on tietovuodon (asetuksen tekstissä “tietoturvaloukkaus”) käsitteen piirissä. Jos yrityksellä on esimerkisi hyvin leväperäinen tietoturvapolitiikka, joka mahdollistaisi mittavat tietojen kopioinnin liian helposti, tietosuojaviranomaiset voisivat katsoa tämä olevan selkeä rike. Tilanne voisi olla toinen vaikkapa silloin, kun tiedot olisi vaikkapa salattu niin, että niitä ei voida lukea.

Tietovuodosta tulee myös ilmoittaa 72 tunnin kuluessa viranomaisille. Pahimmassa tapauksessa sakkoa voisi rapsahtaa 10 miljoona tai 2 % vuotuisesta liikevaihdosta. En kuitenkaan usko enkä väitä, että tällainen sakko olisi määrätty nyt uutisoidusta tapauksesta ainakaan annettujen tietojen perusteella. Mutta sakko on erittäin voimakas keino pakottaa yritykset toimimaan vastuullisemmin.

Tietovuotoja tulee tapahtumaan tietosuoja-asetuksenkin myötä. Tämän ovat lainsäätäjätkin ymmärtäneet, sillä tuo määrättävä sakko on pienempi kuin asetuksen sallima maksimisakko (4% tai 20 miljoonaa euroa) varmaankin juuri siitä syystä, että vuodot ovat myös osittain yrityselämän “arkipäivää”.

Published by

Panu Pökkylä

Blogger, enterpeneur and a senior legal counsel at Nordea. Certified Information Privacy Professional / Europe (CIPP/E). I write in Finnish about technology and law, public procurement and privacy. All opinions are mine

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s